0
0
84% das bases de código contêm pelo menos uma vulnerabilidade conhecida de código aberto , um aumento de quase 4% em relação ao ano passado, de acordo com a Synopsys.
As descobertas do relatório fornecem uma visão aprofundada do estado atual dos riscos de segurança, conformidade, licenciamento e qualidade de código de código aberto em software comercial com o objetivo de ajudar as equipes de segurança, jurídica, de risco e desenvolvimento a entender melhor o código aberto cenário de risco de segurança e licença.
Inventário de software
O primeiro passo para reduzir o risco comercial de código aberto, proprietário e comercial envolve um inventário abrangente de todos os softwares usados por uma empresa, independentemente de sua origem ou de como foi adquirido.
Somente com esse inventário completo – uma lista de materiais de software (SBOM) – as organizações podem estabelecer uma estratégia para lidar com o risco decorrente de novas divulgações de segurança como o Log4Shell.
“As descobertas do relatório OSSRA de 2023 destacam a realidade do código aberto como a base subjacente da maioria dos tipos de software construídos hoje”, disse Jason Schmitt , GM do Synopsys Software Integrity Group.
“Um aumento no número médio de componentes de código aberto subindo 13% (de 528 para 595) nas auditorias deste ano reforça ainda mais a importância de implementar um SBOM abrangente que liste todos os componentes de código aberto em seus aplicativos, suas licenças, versões e status de patch . Esta é uma estratégia fundamental para entender e reduzir o risco de negócios, defendendo-se contra ataques à cadeia de suprimentos de software”, continuou Schmitt.
Visão geral do uso de código aberto
Uma visão geral de cinco anos dos dados da OSSRA mostra um crescimento dramático no uso de código aberto: A pandemia global contribuiu para a adoção de código aberto pelo setor EdTech, que cresceu 163%, com cursos educacionais e interações instrutor/aluno cada vez mais online. Outros setores experimentando um grande aumento no crescimento do código aberto incluem o setor aeroespacial, aviação, automotivo, transporte e logística, com um aumento de 97% e crescimento de 74% em manufatura e robótica.
As vulnerabilidades de alto risco nos últimos cinco anos também aumentaram a um ritmo alarmante: desde 2019, as vulnerabilidades de alto risco no setor de varejo e comércio eletrônico aumentaram 557%. Comparativamente, o setor de IoT, com 89% do código total sendo de código aberto, teve um aumento de 130% em vulnerabilidades de alto risco no mesmo período. Da mesma forma, verificou-se que as verticais aeroespacial, de aviação, automotiva, de transporte e logística tiveram um aumento de 232% em vulnerabilidades de alto risco.
O uso de componentes de código aberto sem licença coloca as organizações em maior risco de violar a lei de direitos autorais do que aquelas que usam componentes licenciados: O relatório constatou que 31% das bases de código usam código aberto sem licença perceptível ou com licenças personalizadas. Este é um aumento de 55% em relação ao relatório da OSSRA do ano passado. A falta de uma licença associada ao código-fonte aberto ou uma variante de outra licença de código-fonte aberto pode impor requisitos indesejáveis ao licenciado e geralmente exigirá avaliação legal para possíveis problemas de propriedade intelectual ou outras implicações legais.
A qualidade do código e os patches de segurança disponíveis não são aplicados à maioria das bases de código: das 1.480 bases de código auditadas que incluíam avaliações de risco, 91% continham versões desatualizadas de componentes de código aberto. A menos que uma organização mantenha um SBOM preciso e atualizado, um componente desatualizado pode ser esquecido até que se torne vulnerável a uma exploração de alto risco.
Gerenciamento de código aberto
“A chave para gerenciar o risco de código aberto na velocidade do desenvolvimento moderno é manter a visibilidade completa do conteúdo do aplicativo”, disse Mike McGuire , gerente sênior de soluções de software do Synopsys Software Integrity Group.
“Ao criar essa visibilidade no ciclo de vida do aplicativo, as empresas podem se armar com as informações necessárias para tomar decisões informadas e oportunas em relação à resolução de riscos. As organizações que utilizam qualquer tipo de software de terceiros devem presumir legitimamente que ele contém código aberto. Verificar isso e ficar por dentro dos riscos associados é tão simples quanto obter um SBOM – algo facilmente fornecido por um fornecedor que toma as medidas necessárias para proteger sua cadeia de suprimentos de software”, concluiu McGuire.
O relatório examina os resultados de mais de 1.700 auditorias de bases de código comerciais e proprietárias envolvidas em transações de fusão e aquisição e destaca tendências no uso de código aberto em 17 setores.
FONTE: HELPNET SECURITY